anapest Opublikowano 17 Stycznia 2014 Zgłoś Udostępnij Opublikowano 17 Stycznia 2014 Hej wszystkim Mam ogromny problem z czymś pod ciekawą nazwą Discount Dragon, ale może najpierw cała historia z tym związana... To nie tak, że nie wiem, że należy czytać to, co się instaluje. Wiem to przede wszystkim dlatego, bo więcej niż pół roku temu miałam pierwszy tego typu problem z DeltaSearch, z którą także walczyłam cały dzień, jednak wtedy nie znałam cudownego programu ADWcleaner, który został moim bohaterem... Dzisiaj postanowiłam pograć sobie w grę, jednak, by ją zainstalować potrzebowałam pewnego programu i oto weszłam na instalki.pl stamtąd pobrałam program jak i... Syf pod tytułem SweetPage, czyli zamiast Chrome miałam TO COŚ (nie wiem nawet dokładnie co, pewnie pasożyt). Do strony instalek miałam zaufanie, nie zawiodły mnie nigdy, aż tu niespodzianka. Lecz nauka nie idzie w las, tylko w nas, zatem możecie mi wierzyć lub nie, ale czytałam co instaluję. Może jestem ślepa albo zbyt mało bystra, ale nie mogę sobie zarzucić, że w sieci działam całkowicie bezmyślnie... Po tym jak zobaczyłam, że kolejny pasożyt wkradł mi się do przeglądarki od razu przypomniałam sobie o ADWcleaner. Jak pomyślałam, tak zrobiłam, wygrzebałam gdzieś z zakamarków mojego komputera ten oto piękny program i co? I nie zadziałał! Teraz już wiem dlaczego - miałam nieaktualną wersję. Chcąc pozbyć się bałaganu o przesłodzonym imieniu SweetPage postanowiłam poradzić się google. Tam na każdym forum pisali o ADWcleaner, który mojego problemu jednak nie rozwiązywał. Takim oto sposobem wpadłam na strony typu hxxp://odinstalowacspyware.virusremovalguide.org/odinstaluj-sweet-page-com-browser-hijacker-jak-odinstalowac-sweet-page-com-browser-hijacker - tłumaczenie jakby z translatora poradziło mi, bym z ich strony ściągnęła SpyHuntera. I to okazało się kolejną pułapką! Ponad dwie godziny skanował mi komputer, znalazł ponad 500 zagrożeń, które chętnie chciał usunąć, ale... Nie za darmo. Zatem postanowiłam (to było głupie!) klikać na każdy plik prawym przyciskiem myszy, który odsyłał mnie do folderu lub odpowiedniego miejsca w rejestrze, wszystko tam kasowałam, jak leci. Myślałam, że będzie okej, po czym prawie zeszłam na zawał jak ponownie uruchomiłam komputer i wyskoczył komunikat, że czegoś (nie wiem czego) nie ma w rejestrze. Na szczęście (póki co) widocznych zmian nie ma, system działa, komunikat się nie pojawia... Mój kolejny fantastyczny pomysł nie zadziałał, więc zrezygnowana wpisałam w google ADWcleaner, a tam?! Kolejna (tym razem miła) niespodzianka - polska strona z programem z najnowszymi aktualizacjami - w wakacje myślę, że jej jeszcze nie było, mój wcześniejszy ADWcleaner był z jakiejś stronie o wątpliwej reputacji, ale pamiętam, że nigdzie nie mogłam znaleźć nowszej wersji niż takiej, która była dostępna wszędzie... Tym razem ADWcleaner znowu się sprawdził (chylę czoła dla twórców tego programu). Jednak SpyHunter zostawił mi COŚ. Co? Discount Dragon - rozszerzenie, którego nie mogę usunąć - później napiszę jak to wygląda, czym jest i jak się zachowuje... Teraz chciałabym opisać swoje kolejne pełne rozsądku pomysły... Otóż, znowu powchodziłam na różne fora, by poczytać o podobnych przypadkach, by dowiedzieć się jak paskudztwa się pozbyć, każdy zachwalał ADWcleaner, ale no cóż, na to on raczej nie działa, a przynajmniej w moim wypadku. Ktoś powiedział, by usunąć to z Programy i funkcje, po prostu odinstalować. Zgrabnie poszło, ale problem nie zniknął... Z kolei ktoś poradził by wkleić jakąś komendę (nie pamiętam jaką, niestety) w Wyszukaj programy i pliki... W każdym razie chodziło o to, by dostać się do folderu jakby z opcjami i ustawieniami przeglądarki. Nie znalazłam tam Dragona, ale moim rozumkiem wymyśliłam, żeby usunąć wszystkie pliki z dzisiejszą datą - siedzę nad tym cały dzień, więc nic cennego nie mogłam usunąć - tak mi się wówczas wydawało. Ku mojemu zdziwieniu po odpaleniu przeglądarki zniknął pasek zakładek... Ciekawe co jeszcze zmajstrowałam... Hm, no nic. Zupełnie nie mam pojęcia co to jest i jak z tym walczyć, sama sobie nie dam rady, proszę o pomoc... Discount Dragon jest rozszerzeniem wpisanym jakoby w moją przeglądarkę. Nie da się go usunąć jak normalnego rozszerzenia, ponieważ: "(To rozszerzenie jest zarządzane, więc nie można go usunąć ani wyłączyć)". Obok jest Włączony i pod tym informacja: "Zainstalowane na podstawie zasad przedsiębiorstwa". U mnie Dragon nie zachowuje się tak agresywnie jak u innych (z tego co czytałam), nie jest upierdliwy, nie wysyła miliona reklam itp. Właściwie nie widzę jego obecności, ale nie chcę go mieć. Nie wiem co robić... Mam Win 7 System 64-bitowy Przeglądarkę Chrome Deamon tools odinstalowałam (podobnych programów nie mam) Przesyłam (mam nadzieję) wszystkie potrzebne logi Pozdrawiam Logi FRST, Addition oraz OTL wysyłam w załącznikach, pod spodem tylko log GMER GMER 2.1.19163 - http://www.gmer.net Rootkit scan 2014-01-17 23:40:33 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\0000006a Hitachi_ rev.FBEO 232,89GB Running: m57g1hli.exe; Driver: C:\Users\BASIAK~1\AppData\Local\Temp\uxldqpod.sys ---- User code sections - GMER 2.1 ---- .text C:\Windows\SysWOW64\Fast Boot\FastBootAgent.exe[764] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077361465 2 bytes [36, 77] .text C:\Windows\SysWOW64\Fast Boot\FastBootAgent.exe[764] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000773614bb 2 bytes [36, 77] .text ... * 2 .text C:\Windows\AsScrPro.exe[3360] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000077361465 2 bytes [36, 77] .text C:\Windows\AsScrPro.exe[3360] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000773614bb 2 bytes [36, 77] .text ... * 2 ---- Kernel IAT/EAT - GMER 2.1 ---- IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [fffff880010c3e94] \SystemRoot\System32\Drivers\sptd.sys [.text] IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [fffff880010c3c38] \SystemRoot\System32\Drivers\sptd.sys [.text] IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [fffff880010c4614] \SystemRoot\System32\Drivers\sptd.sys [.text] IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUlong] [fffff880010c4a10] \SystemRoot\System32\Drivers\sptd.sys [.text] IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [fffff880010c486c] \SystemRoot\System32\Drivers\sptd.sys [.text] ---- Devices - GMER 2.1 ---- Device \FileSystem\Ntfs \Ntfs fffffa800188b2c0 Device \FileSystem\fastfat \Fat fffffa80051d72c0 Device \Driver\nvstor64 \Device\0000006a fffffa80018872c0 Device \Driver\NetBT \Device\NetBT_Tcpip_{EF74F7EE-D348-4C80-83C9-5DC4ABFC8882} fffffa80029722c0 Device \Driver\usbehci \Device\USBPDO-1 fffffa8002ca72c0 Device \Driver\nvstor64 \Device\RaidPort0 fffffa80018872c0 Device \Driver\cdrom \Device\CdRom0 fffffa8002b082c0 Device \Driver\nvstor64 \Device\0000006b fffffa80018872c0 Device \Driver\usbohci \Device\USBFDO-0 fffffa8002c702c0 Device \Driver\USBSTOR \Device\00000075 fffffa800191f2c0 Device \Driver\USBSTOR \Device\00000076 fffffa800191f2c0 Device \Driver\usbehci \Device\USBFDO-1 fffffa8002ca72c0 Device \Driver\NetBT \Device\NetBT_Tcpip_{46910787-133C-4011-AB26-6272FA5B95E5} fffffa80029722c0 Device \Driver\NetBT \Device\NetBt_Wins_Export fffffa80029722c0 Device \Driver\nvstor64 \Device\ScsiPort0 fffffa80018872c0 Device \Driver\usbohci \Device\USBPDO-0 fffffa8002c702c0 ---- Trace I/O - GMER 2.1 ---- Trace ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa80018872c0]<< sptd.sys storport.sys hal.dll nvstor64.sys fffffa80018872c0 Trace 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80028a4060] fffffa80028a4060 Trace 3 CLASSPNP.SYS[fffff88001b5c43f] -> nt!IofCallDriver -> [0xfffffa8002781300] fffffa8002781300 Trace 5 ACPI.sys[fffff8800100b7a1] -> nt!IofCallDriver -> \Device\0000006a[0xfffffa80027817e0] fffffa80027817e0 Trace \Driver\nvstor64[0xfffffa8002652ac0] -> IRP_MJ_CREATE -> 0xfffffa80018872c0 fffffa80018872c0 ---- Registry - GMER 2.1 ---- Reg HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{46910787-133C-4011-AB26-6272FA5B95E5}@LeaseObtainedTime 1389997868 Reg HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{46910787-133C-4011-AB26-6272FA5B95E5}@T1 1389998018 Reg HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{46910787-133C-4011-AB26-6272FA5B95E5}@T2 1389998130 Reg HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{46910787-133C-4011-AB26-6272FA5B95E5}@LeaseTerminatesTime 1389998168 ---- EOF - GMER 2.1 ---- FRST.txt Addition.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2014 Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Po tym jak zobaczyłam, że kolejny pasożyt wkradł mi się do przeglądarki od razu przypomniałam sobie o ADWcleaner. Jak pomyślałam, tak zrobiłam, wygrzebałam gdzieś z zakamarków mojego komputera ten oto piękny program i co? I nie zadziałał! Ten program, by był w pełni skuteczny, zawsze pobiera się na nowo, gdyż jest zbyt często aktualizowany. Używanie przestarzałej wersji nie ma oczywiście takich samych skutków jak wersji najnowszej posiadającej szersze definicje. Takim oto sposobem wpadłam na strony typu hxxp://odinstalowacspyware.virusremovalguide.org/odinstaluj-sweet-page-com-browser-hijacker-jak-odinstalowac-sweet-page-com-browser-hijacker - tłumaczenie jakby z translatora poradziło mi, bym z ich strony ściągnęła SpyHuntera. I to okazało się kolejną pułapką! Ponad dwie godziny skanował mi komputer, znalazł ponad 500 zagrożeń, które chętnie chciał usunąć, ale... Nie za darmo. SpyHunter to skaner wątpliwej reputacji. Stosuje taktykę silnych zwodniczych reklam według zasady "pobierz i przeskanuj, ale zapłać". Mój kolejny fantastyczny pomysł nie zadziałał, więc zrezygnowana wpisałam w google ADWcleaner, a tam?! Kolejna (tym razem miła) niespodzianka - polska strona z programem z najnowszymi aktualizacjami - w wakacje myślę, że jej jeszcze nie było, mój wcześniejszy ADWcleaner był z jakiejś stronie o wątpliwej reputacji, ale pamiętam, że nigdzie nie mogłam znaleźć nowszej wersji niż takiej, która była dostępna wszędzie... Tym razem ADWcleaner znowu się sprawdził (chylę czoła dla twórców tego programu). Jeśli rzecz o stronie hxxp://adwcleaner.pl/ to nie jest strona domowa programu i nie posiadam żadnej wiedzy, by ta strona była autoryzowana. Tam nawet jest wyszczególnione, że nie jest to oficjalna strona. Jedyne oficjalne autoryzowane linki (czyli francuska strona domowa + Bleeping) są podane w przyklejonym: KLIK. Wszystko inne jest nieoficjalne. Poza tym, użyty AdwCleaner i to wielokrotnie, a nie zostały podane żadne wyniki potwierdzające co było usuwane. Dostarcz wszystkie logi zlokalizowane wprost na dysku C C:\AdwCleaner[sx].txt oraz w katalogu C:\AdwCleaner. Jednak SpyHunter zostawił mi COŚ. Co? Discount Dragon - rozszerzenie, którego nie mogę usunąć - później napiszę jak to wygląda, czym jest i jak się zachowuje... Ten Discount Dragon nie wygląda w ogóle na związany ze SpyHunter. Raczej Discount został załadowany razem z innymi adware, bo tu cała kolekcja była, a nie tylko tytułowy "sweet-page". Twoje logi wykazują, że już zeszłego roku dysku były instalacje adware. Teraz chciałabym opisać swoje kolejne pełne rozsądku pomysły... Otóż, znowu powchodziłam na różne fora, by poczytać o podobnych przypadkach, by dowiedzieć się jak paskudztwa się pozbyć, każdy zachwalał ADWcleaner, ale no cóż, na to on raczej nie działa, a przynajmniej w moim wypadku. Ktoś powiedział, by usunąć to z Programy i funkcje, po prostu odinstalować. Zgrabnie poszło, ale problem nie zniknął... Z kolei ktoś poradził by wkleić jakąś komendę (nie pamiętam jaką, niestety) w Wyszukaj programy i pliki... W każdym razie chodziło o to, by dostać się do folderu jakby z opcjami i ustawieniami przeglądarki. Nie znalazłam tam Dragona, ale moim rozumkiem wymyśliłam, żeby usunąć wszystkie pliki z dzisiejszą datą - siedzę nad tym cały dzień, więc nic cennego nie mogłam usunąć - tak mi się wówczas wydawało. Ku mojemu zdziwieniu po odpaleniu przeglądarki zniknął pasek zakładek... Ciekawe co jeszcze zmajstrowałam... Hm, no nic. Zupełnie nie mam pojęcia co to jest i jak z tym walczyć, sama sobie nie dam rady, proszę o pomoc... Niestety obawiam się, że uszkodziłaś Google Chrome. To co polecali wkleić to pewnie była ścieżka: C:\Users\basiak xd\AppData\Local\Google\Chrome\User Data\Default Folder trzyma całą konfigurację przeglądarki, świeże daty o niczym nie świadczą, gdyż niektóre poprawne elementy Google Chrome mogą się odświeżać. Discout Dragon owszem jest w tej ścieżce nieco głębiej i nie ma nazwy "Discount Dragon", gdyż rozszerzenia Google Chrome na dysku są montowane nie wg nazwy tylko wg unikalnego ID danego rozszerzenia. W tym przypadku jest to nikdaiaidiiiogaidkkekcmokcgcdeac: CHR Extension: (Discount Dragon) - C:\Users\basiak xd\AppData\Local\Google\Chrome\User Data\Default\Extensions\nikdaiaidiiiogaidkkekcmokcgcdeac [2014-01-17] Ale usuwanie tego folderu na chama nie jest poprawną metodą. Rozszerzenie zawsze należy deinstalować w pierwszej kolejności normalnymi drogami. Dochodzimy do tego: Discount Dragon jest rozszerzeniem wpisanym jakoby w moją przeglądarkę. Nie da się go usunąć jak normalnego rozszerzenia, ponieważ: "(To rozszerzenie jest zarządzane, więc nie można go usunąć ani wyłączyć)". Obok jest Włączony i pod tym informacja: "Zainstalowane na podstawie zasad przedsiębiorstwa". Ten błąd wskazuje na obecność polityk, tylko że FRST (który je ma wykrywać), w ogóle tego nie widzi. Dlatego też najpierw pobiorę informacje z rejestru, a samo rozszerzenie z Google Chrome będę usuwać potem. Usuwanie adware niekompletne, jest tu jeszcze czym się zajmować. Ponadto będę usuwać inne puste wpisy, szczątki Firefox na dysku oraz wadliwą edycję w pliku HOSTS. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: Ask Toolbar, Codec Pack Packages. Prawdopodobnie te wpisy są uszkodzone użyciem AdwCleaner (zawsze zaczyna się od deinstalacji a nie AdwCleaner), ale Windows powinien zadać pytanie czy usuwać te puste wpisy. 2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware DealPly) > Dalej. 3. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Discount Dragon C:\Program Files (x86)\predm C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SquirrelWeb C:\ProgramData\AskPartnerNetwork C:\Users\basiak xd\.android C:\Users\basiak xd\daemonprocess.txt C:\Users\basiak xd\AppData\Local\qs.dll C:\Users\basiak xd\AppData\Local\qs64.dll C:\Users\basiak xd\AppData\Local\avgchrome C:\Users\basiak xd\AppData\Local\BenchUpdater C:\Users\basiak xd\AppData\Local\cache C:\Users\basiak xd\AppData\Local\Discount Dragon C:\Users\basiak xd\AppData\Roaming\Codec Pack Packages C:\Users\basiak xd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop C:\Users\basiak xd\AppData\Roaming\Mozilla C:\Users\basiak xd\AppData\Roaming\QuickScan C:\Users\basiak xd\AppData\Roaming\Video Converter Packages C:\Windows\72AAF4551E54475BB0AB5413C78D0E63.TMP C:\Windows\system32\ServiceFilter.ini C:\Windows\system32\AutoRunFilter.ini Task: {131AC02C-4897-4210-A6FB-DE93E7B635C2} - \DSite No Task File Task: {453C2BF7-4AFD-41FC-9D38-5FEDBCF399C0} - \RegClean Pro No Task File Task: {487685E2-9FA4-4111-8509-BD634462E868} - System32\Tasks\{C87AC5D7-256A-4017-8174-878C0E8C9F19} => C:\Program Files (x86)\iPlus\iPlusManager.exe Task: {7CA1204F-04E2-4BE4-A17D-C1D18FB0C65E} - \PC Performer_DEFAULT No Task File Task: {89D71D51-B278-4405-AF07-26B878E4F7ED} - \bench-sys No Task File Task: {8CD4B2F4-13FD-4077-9C9E-D2023DFEF7BA} - \CPU Grid Computing No Task File Task: {A3417DC1-5672-4123-9367-4BF1C43D809C} - \RegClean Pro_UPDATES No Task File Task: {ADD817C1-357A-4EC8-A7F3-B220EA4AF58B} - \bench-S-1-5-21-4256236455-1972928378-2548626097-1000 No Task File Task: {C7D52E4B-BB75-4E44-85A6-F880A104FA77} - \AdobeFlashPlayerUpdate No Task File Task: {CC2C02FC-4342-4639-AAE4-F2EBAB4258E0} - \Funmoods No Task File Task: {D45CE85C-AB79-42C1-A434-7AE2DF9B0E2F} - \RegClean Pro_DEFAULT No Task File Task: {F101388D-2FF6-4ABD-856B-28BA2619E928} - \Dealply No Task File Task: {F36EB091-F44A-4D9C-9695-DDB2DABC77B1} - \PC Performer_UPDATES No Task File Task: {F803049B-0DC4-437F-8A5E-04E08FD6203B} - \AdobeFlashPlayerUpdate 2 No Task File HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File CHR HKLM-x32\...\Chrome\Extension: [pljcgbedjplidkdjahbaalanadmjfgop] - C:\ProgramData\AskPartnerNetwork\Toolbar\ORJ-V7C\CRX\ToolbarCR.crx [2014-01-17] HKCU\...\Run: [EA Core] - "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent HKCU\...\Run: [ALLUpdate] - "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKCU\...\Run: [Google+ Auto Backup] - "C:\Users\basiak xd\AppData\Local\Programs\Google\Google+ Auto Backup\Google+ Auto Backup.exe" /autostart S3 ADSMService; C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMSrv.exe [x] S3 AmUStor; system32\drivers\AmUStor.SYS [x] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [x] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [x] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [x] S3 ipswuio; System32\DRIVERS\ipswuio.sys [x] S3 massfilter; system32\drivers\massfilter.sys [x] U3 tmlwf; U3 tmwfp; S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x] Reg: reg query HKCU\Software\Policies\Google /s Reg: reg query HKLM\SOFTWARE\Policies\Google /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Policies\Google /s Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Uruchom TFC - Temp Cleaner. 5. Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KB972034. 6. Zrób nowe skany: FRST (bez Addition) + OTL (ma powstać zaległy plik Extras, opcja "Rejestr - skan dodatkowy" ma być zaznaczona). Dołącz plik fixlog.txt i wszystkie zaległy raporty AdwCleaner, o które prosiłam. . Odnośnik do komentarza
anapest Opublikowano 18 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Dziękuję ślicznie za odzew oraz za wszystkie informacje dotyczące AdwCleander i SpyHunter. Również myślę, że w jakiś sposób uszkodziłam Chrome, bo chce mi tłumaczyć polskie strony jako z angielskiego na polski, ciekawe… Innych widocznych efektów nie zauważyłam. Szczątkami Firefox jestem zdumiona, ponieważ wydaje mi się, że nigdy nie instalowałam tej przeglądarki, ale no właśnie – wydaje mi się… O ile robaki z tamtego roku są, o tyle o nich nie wiedziałam i nie były one w jakiś sposób widoczne (oprócz wcześniej wspomnianej DeltaSearch, którą wywaliłam), więc jak się przed tym chronić(?) Nie korzystam aż tak dużo z komputera, z sieci za wiele też nie ściągam, bo po prostu nie potrafię. Wczoraj przeczytałam to: https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uważać/ zapamiętam na przyszłość Wspomnę jeszcze, że dwa razy – z nieznanych przyczyn – wyłączył się komputer i nie wiem, czy to wina mojego nadmiernego sprzątania, czy Dragona, czy czegoś innego. Jednak nadal nie jest upierdliwy - może dlatego, że nie wchodzę na żadne strony oprócz tego forum, więc jakby nie ma skąd czerpać pomysłów na reklamy? Widzę go jedynie w momentach najechania na hiperłącze i pojawia się jakaś informacja z obejrzeniem czegoś albo zagraniem w to... (Przepraszam, że nie cytuję tak, jak powinno się to robić, ale po kilku próbach kombinowania i tak nie umiem…) 1. Przez Panel sterowania odinstaluj: Ask Toolbar, Codec Pack Packages. Prawdopodobnie te wpisy są uszkodzone użyciem AdwCleaner (zawsze zaczyna się od deinstalacji a nie AdwCleaner), ale Windows powinien zadać pytanie czy usuwać te puste wpisy. Zrobione. 2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware DealPly) > Dalej. Zrobione, jednak informacją zwrotną było, że nie można zainstalować lub odinstalować programu, a obok na zielono, że zrobiono… Nie wiem, czy to dobrze, czy źle, czy obojętnie... 3. Otwórz Notatnik i wklej w nim: […]Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zrobione. 4. Uruchom TFC - Temp Cleaner. Zrobione. 5. Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KB972034. Zrobione Wysyłam skany Jednak mam problem z raportami AdwCleaner. Te pierwsze są, wyślę, jednak drugich nie znalazłam. Wrzucę Prt Screen'a jak ten folder się przedstawia. FRST.txt Fixlog.txt OTL.Txt Extras.Txt AdwCleanerR0.txt AdwCleanerR1.txt AdwCleanerR2.txt AdwCleanerS0.txt AdwCleanerS1.txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2014 Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Akcje wykonane, został ów Discount Dragon. Wg zadanego przeze mnie skanu FRST rzeczywiście polityk w rejestrze nie ma. Być może komunikat "To rozszerzenie jest zarządzane" pochodzi z faktu, że to w folderze C:\Program Files (x86)\Discount Dragon (właśnie usuniętym skryptem FRST) był odrębny deinstalator Google Chrome. Discount Dragon będzie usuwany na siłę. W pierwszej jednak kolejności: Również myślę, że w jakiś sposób uszkodziłam Chrome, bo chce mi tłumaczyć polskie strony jako z angielskiego na polski, ciekawe… Innych widocznych efektów nie zauważyłam. Odwróć całą operację dewastowania folderu konfiguracji Google Chrome. Wg spisu jest tu masa punktów Przywracania: ==================== Restore Points ========================= 13-01-2014 22:51:55 Windows Update 15-01-2014 00:33:06 Windows Update 16-01-2014 02:00:34 Windows Update 17-01-2014 00:16:27 Windows Update 17-01-2014 01:09:11 Windows Update 17-01-2014 11:58:39 SPTD setup V1.84 17-01-2014 12:56:23 Installed SpyHunter 17-01-2014 13:22:02 RegClean Pro Pt, sty 17, 14 14:21 17-01-2014 13:28:56 Instalacja pakietu sterownika urządzenia: DT Soft Ltd Urządzenia systemowe 17-01-2014 16:01:48 Removed SpyHunter 17-01-2014 16:03:17 Removed SpyHunter Nie będziemy jednak używać Przywracania systemu tylko jego część o nazwie Poprzednie wersje. Akcja (przy zamkniętym Google Chrome): 1. Otwórz eksplorator Windows, w pasku adresów wklej poniższą ścieżkę i ENTER: C:\Users\basiak xd\AppData\Local\Google Prawoklik na tło folderu > Właściwości > Poprzednie wersje. Pokaże się spis poprzednich postaci katalogu Google. Podświetl ten datowany sprzed Twoich operacji grzebania w folderze Google i klik w Otwórz. Pojawi się poprzednia postać folderu. Tam będzie folder o nazwie Chrome. Skopiuj go na Pulpit. 2. W folderze: C:\Users\basiak xd\AppData\Local\Google Przez SHIFT+DEL skasuj cały obecny folder Chrome i wstaw na jego miejsce ten skopiowany na Pulpit. 3. Zrób nowy skan FRST (zaznacz też pole Addition, by powstały ponownie dwa logi *), który pokaże jak wyglądało Chrome wcześniej. Szczątkami Firefox jestem zdumiona, ponieważ wydaje mi się, że nigdy nie instalowałam tej przeglądarki, ale no właśnie – wydaje mi się… To możliwe, że Firefox nigdy nie był zainstalowany. Wtyczki oraz adware tworzą obiekty Firefox, nawet jeśli nie jest on w ogóle zainstalowany. To wszystko już usunęłam skryptem FRST. Jednak mam problem z raportami AdwCleaner. Te pierwsze są, wyślę, jednak drugich nie znalazłam. Wrzucę Prt Screen'a jak ten folder się przedstawia. Na obrazku widać przecież raporty, w katalogu C:\AdwCleaner jest aż 6 plików logów. Chodzi mi o te z usuwania, czyli C:\AdwCleaner\AdwCleaner[sx].txt Zrobione, jednak informacją zwrotną było, że nie można zainstalować lub odinstalować programu, a obok na zielono, że zrobiono… Nie wiem, czy to dobrze, czy źle, czy obojętnie... Jak sądzę, to był komunikat, że programu nie da się odinstalować w normalny sposób, a zielony sygnał był z kolei skorelowany z potwierdzeniem pomyślności alternatywnej procedury brutalnego usuwania kluczy rejestru. * Na wszelki wypadek sprawdzam jednak plik Addition, czy to wejście jest już usunięte. (Przepraszam, że nie cytuję tak, jak powinno się to robić, ale po kilku próbach kombinowania i tak nie umiem…) Jaki konkretnie jest problem z cytowaniem? W edytorze przyciskiem służącym cytowaniu jest . Poprawiłam cytaty. . Odnośnik do komentarza
anapest Opublikowano 18 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Nie będziemy jednak używać Przywracania systemu tylko jego część o nazwie Poprzednie wersje. Akcja (przy zamkniętym Google Chrome): 1. Otwórz eksplorator Windows, w pasku adresów wklej poniższą ścieżkę i ENTER: C:\Users\basiak xd\AppData\Local\Google Prawoklik na tło folderu > Właściwości > Poprzednie wersje. Pokaże się spis poprzednich postaci katalogu Google. Podświetl ten datowany sprzed Twoich operacji grzebania w folderze Google i klik w Otwórz. Pojawi się poprzednia postać folderu. Tam będzie folder o nazwie Chrome. Skopiuj go na Pulpit. 2. W folderze: C:\Users\basiak xd\AppData\Local\Google Przez SHIFT+DEL skasuj cały obecny folder Chrome i wstaw na jego miejsce ten skopiowany na Pulpit. 3. Zrób nowy skan FRST (zaznacz też pole Addition, by powstały ponownie dwa logi *), który pokaże jak wyglądało Chrome wcześniej. Cofnęłam do momentu manipulowania w folderze - Dragona nie ma, ale jest za to SweetPage, a raczej jej przeglądarka yahoo. Dołączam skany. Na obrazku widać przecież raporty, w katalogu C:\AdwCleaner jest aż 6 plików logów. Chodzi mi o te z usuwania, czyli C:\AdwCleaner\AdwCleaner[sx].txt Te sześć plików z logami to są te, które wysłałam ostatnio, natomiast kiedy wpisuję pogrubioną ścieżkę, to nie odszukuje mi jej. Jest napisane, że System Windows nie może znaleźć elementu C:\AdwCleaner\AdwCleaner[sx].txt i mam sprawdzić pisownię... Problem z cytowaniem już nie istnieje. Dzięki. Addition.txt FRST.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2014 Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Ten fałszywy wpis Google Update został pomyślnie usunięty. Cofnęłam do momentu manipulowania w folderze - Dragona nie ma, ale jest za to SweetPage, a raczej jej przeglądarka yahoo Spokojnie, zaraz to usuniemy. Chodziło mi o ożywienie uprzednio uszkodzonych funkcji Google Chrome. Teraz wykonaj: 1. Resety przeglądarki Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Proces powinien zlikwidować przekierowania sweet-page. Zakładki i hasła nie zostaną naruszone, ale niedomyślne rozszerzenia Bookmark Manager i creative zostaną wyłączone i już ręcznie je przywrócisz w Ustawienia > karta Rozszerzenia Zresetuj cache wtyczek, co usunie martwe wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustawienia > karta Historia > wyczyść 2. Zrób nowy log FRST (bez Addition). Potwierdź czy Google Chrome poprawnie działa. Te sześć plików z logami to są te, które wysłałam ostatnio, natomiast kiedy wpisuję pogrubioną ścieżkę, to nie odszukuje mi jej. Jest napisane, że System Windows nie może znaleźć elementu C:\AdwCleaner\AdwCleaner[sx].txt i mam sprawdzić pisownię... Oczywiście, że wpisanie pogrubionej ścieżki nie zwróci wyników, bo wstawiłam X zamiast numerów poszczególnych logów, czyli rodzaj umowy obrazującej ogólnie gdzie leżą pliki i jaki mają schemat nazwy. Na dysku były następujące pliki widoczne (pliki w tym miejscu tworzą stare wersje AdwCleaner): C:\AdwCleaner[s2].txt C:\AdwCleaner[s3].txt .. oraz folder C:\AdwCleaner (tworzony przez najnowsze wersje) wg obrazka mający kolejne pliki z usuwania: C:\AdwCleaner\AdwCleaner[s0].txt C:\AdwCleaner\AdwCleaner[s1].txt C:\AdwCleaner\AdwCleaner[s2].txt Czyli w sumie widać tu aż 5 plików raportów z usuwania (możliwe, że na C:\ jest ich więcej utworzonych wcześniej i po prostu log nie objął tego czasowo), były dostarczone tylko 3 (te z literką "R" to duplikaty z funkcji Szukaj). Tak, nazwy plików się replikują, bo pliki utworzono w dwóch różnych ścieżkach. Dołączone wcześniej logi wyglądają jak te z folderu C:\AdwCleaner, czyli brakuje tych leżących wprost na dysku C:\. . Odnośnik do komentarza
anapest Opublikowano 18 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Tak, przeglądarka działa jak najbardziej poprawnie, przynajmniej z mojego punkt widzenia, czyli szukanie jest w google, nie ma rozszerzenia Dragona i kiedy odpalam przeglądarkę to nie mam słodkiego ciasteczka, tylko napis GOOGLE Wklejam skan: FRST.txt Zatem, czy mam coś wysyłać od AdwCleaner? Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2014 Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Ja nadal widzę wpis sweet-page jako strona domowa Google Chrome. - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń sweet-page. - Powtórz reset wtyczek oraz czyszczenie historii. - Zrób nowy skan FRST (bez Addition). A te raporty AdwCleaner to sobie już darujmy. . Odnośnik do komentarza
anapest Opublikowano 18 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Zrobione Skan: FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2014 Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Czy na pewno został zrobiony ponowny reset wtyczek via chrome://plugins? Jest jeden wpis oznaczony jako "No File", który powinien zniknąć po wdrożeniu tego procesu. To już drobnostka. Wszystko ogólnie zrobione i możemy kończyć: 1. Porządki po używanych narzędziach. Start > w polu szukania wpisz regedit > wyszukaj poniższy klucz i go skasuj: HKEY_LOCAL_MACHINE\SOFTWARE\MATS Przez SHIFT+DEL (omija Kosz) skasuj FRST oraz te pliki i foldery: C:\AdwCleaner[X].txt C:\FRST C:\MATS C:\ProgramData\Malwarebytes C:\Users\basiak xd\AppData\Roaming\Malwarebytes W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Usuń stare wtyczki Adobe i Java na korzyść najnowszych oraz zaktualizuj IE: KLIK. Wersje widziane obecnie w systemie: Internet Explorer Version 10 ==================== Installed Programs ====================== Adobe Flash Player 11 Plugin (x32 Version: 11.6.602.168 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera Adobe Reader 9.1 MUI (x32 Version: 9.1.0 - Adobe Systems Incorporated) Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) Ta wtyczka Adobe Flash Player w ogóle zbędna, to wersja dla innych przeglądarek. Google Chrome ma wbudowany własny wewnętrzny Adobe Flash. . Odnośnik do komentarza
anapest Opublikowano 18 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Czy na pewno został zrobiony ponowny reset wtyczek via chrome://plugins? Jest jeden wpis oznaczony jako "No File", który powinien zniknąć po wdrożeniu tego procesu. To już drobnostka. Tak, na 100% ale skoro to drobnostka, to oki. HKEY_LOCAL_MACHINE\SOFTWARE\MATS - nie ma ostatniego folderu, kończy się na SOFTWARE więc jakby nie mam możliwości usunięcia tego... Przez SHIFT+DEL (omija Kosz) skasuj FRST oraz te pliki i foldery: C:\AdwCleaner[X].txt C:\FRST C:\MATS C:\ProgramData\Malwarebytes C:\Users\basiak xd\AppData\Roaming\Malwarebytes W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. Zrobione 2. Wyczyść foldery Przywracania systemu: KLIK. Zrobione. 3. Usuń stare wtyczki Adobe i Java na korzyść najnowszych oraz zaktualizuj IE: KLIK. Zaktualizowałam IE, to: Windows 7 Service Pack 1 także ściągnęłam - czy to są te wtyczki Adobe i Java? Ta wtyczka Adobe Flash Player w ogóle zbędna, to wersja dla innych przeglądarek. Google Chrome ma wbudowany własny wewnętrzny Adobe Flash. Dziękuję za informacje, jednak kompletnie nie wiem, o co chodzi z wtyczkami Adobe, po co one są i skąd się biorą... Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2014 Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 HKEY_LOCAL_MACHINE\SOFTWARE\MATS - nie ma ostatniego folderu, kończy się na SOFTWARE więc jakby nie mam możliwości usunięcia tego... Sprawdź jeszcze czy jest może taki klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MATS Zaktualizowałam IE, to: Windows 7 Service Pack 1 także ściągnęłam - czy to są te wtyczki Adobe i Java? Ależ nie! Żadnego Service Packa nie podawałam, przecież ten system już ma zainstalowany SP1: Windows 7 Home Premium Service Pack 1 (X64) OS Language: Polish Podałam Ci konkretne 4 pozycje: - Do aktualizacji IE10. I już zaktualizowany do IE11) - Do deinstalacji Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera, tu zbędna), Adobe Reader 9.1 MUI, Java 7 Update 45. O ile w ogóle potrzebne, zainstalować najnowszą wersję Adobe Reader i Java. W linku, który podałam, masz przecież wyraźnie napisane wszystko o Adobe i Java. Twoje pytanie mi sugeruje, że tego nie przeczytałaś, zatrzymując się na pierwszej części tyczącej Windows. Dziękuję za informacje, jednak kompletnie nie wiem, o co chodzi z wtyczkami Adobe, po co one są i skąd się biorą... Wtyczki Adobe Flash Player służą do odtwarzania video w tym formacie. Typowy przykład: strona Youtube wymaga tego do odtwarzania filmików. Wtyczki mogą być instalowane na skutek próśb określonych stron domagających się kliku, by wtyczkę zainstalować. Dotyczy to innych przeglądarek niż Google Chrome, ta bowiem ma tę wtyczkę już zintegrowaną z biegu. Dlatego też otrzymałaś instrukcję, by odinstalować Adobe Flash Player 11 Plugin, bo to w ogóle Ci niepotrzebne, jeśli używasz Google Chrome, to wtyczka dla innych przeglądarek, które nie są u Ciebie zainstalowane. . Odnośnik do komentarza
anapest Opublikowano 18 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Sprawdź jeszcze czy jest może taki klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MATS Foldery kończą się na Wow6432Node, MATS nie ma. W linku, który podałam, masz przecież wyraźnie napisane wszystko o Adobe i Java. Twoje pytanie mi sugeruje, że tego nie przeczytałaś, zatrzymując się na pierwszej części tyczącej Windows. Tak, nie czytałam dalej. Jednak poprawiłam się, mam nadzieję, że tym razem zrobiłam wszystko tak jak powinnam: odinstalowałam Adobe Flash Player 11 Plugin, następnie to samo zrobiłam z Adobe Reader 9.1 MUI, Java 7 Update 45. Do dwóch ostatnich ściągnęłam najnowsze wersje na wzór strony, którą podałaś. Wtyczki Adobe Flash Player służą do odtwarzania video w tym formacie. Typowy przykład: strona Youtube wymaga tego do odtwarzania filmików. Wtyczki mogą być instalowane na skutek próśb określonych stron domagających się kliku, by wtyczkę zainstalować. Dotyczy to innych przeglądarek niż Google Chrome, ta bowiem ma tę wtyczkę już zintegrowaną z biegu. Dlatego też otrzymałaś instrukcję, by odinstalować Adobe Flash Player 11 Plugin, bo to w ogóle Ci niepotrzebne, jeśli używasz Google Chrome, to wtyczka dla innych przeglądarek, które nie są u Ciebie zainstalowane. Dziękuję za wyjaśnienie, zapamiętam na przyszłość Ależ nie! Żadnego Service Packa nie podawałam, przecież ten system już ma zainstalowany SP1: Windows 7 Home Premium Service Pack 1 (X64) OS Language: Polish Mam to teraz jakoś odinstalować, coś z tym zrobić? Czy mogą pozostać dwa? Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2014 Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Mam to teraz jakoś odinstalować, coś z tym zrobić? Czy mogą pozostać dwa? SP1 w Twoim systemie jest zainstalowany i nic w tej kwestii nie miałaś robić. Mówiłaś, że zaczęłaś go pobierać, a ja powiedziałam że to zbędne, więc było oczywistym, że masz zaprzestać wszelkich akcji związanych z już istniejącym SP1. Dwóch (takich samych) tu nie będzie, bo to niemożliwe. Próba ponownej instalacji tego co już jest zainstalowane w systemie zwróci błąd, że produkt jest obecny. Jak mówię: nic więcej tu nie robisz. Usuwasz tylko z dysku pobrany instalator SP1. . Odnośnik do komentarza
anapest Opublikowano 18 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2014 Dobrze, sie robi Wielkie wyrazy wdzięczności za pomoc - była wręcz nieoceniona. Jesteś wielka Życzę serdeczności Odnośnik do komentarza
Rekomendowane odpowiedzi